CVE-2025-70866: Schwachstelle in LavaLite CMS erlaubt Admin-Zugriff für Nutzer
⚠️ CVE-Referenzen:
CVE-2025-70866
Zusammenfassung
Eine Sicherheitslücke in LavaLite CMS 10.1.0 ermöglicht es Nutzern mit geringen Berechtigungen, direkt auf das Admin-Backend zuzugreifen. Das Problem entsteht, da die Authentifizierung von Admins und Nutzern den gleichen Mechanismus verwendet, ohne eine rollenbasierte Zugriffskontrolle zu implementieren.
LavaLite CMS 10.1.0 is vulnerable to Incorrect Access Control. An authenticated user with low-level privileges (User role) can directly access the admin backend by logging in through /admin/login. The vulnerability exists because the admin and user authentication guards share the same user provider without role-based access control verification.
Quelle: app.opencve.io